Snowflake, la plateforme leader en matière de stockage de données dans le cloud, a confirmé que les données de jusqu’à 165 de ses clients ont été potentiellement exposées lors d’une campagne d’extorsion en cours. Cette révélation indique que l’opération a des implications plus larges qu’on ne l’avait précédemment rapporté.
L’entreprise de sécurité Mandiant, propriété de Google, assiste Snowflake dans ses efforts de réponse aux incidents. Mandiant a identifié le groupe d’activité non encore classé sous le nom de UNC5537, le décrivant comme un acteur de menace motivé par le gain financier.
UNC5537 a systématiquement compromis les instances des clients de Snowflake en utilisant des identifiants volés. Les données des victimes ont été mises en vente sur des forums de cybercriminalitéLa cybercriminalité est une forme d’activité criminelle qua…, et de nombreuses victimes ont été l’objet de tentatives d’extorsion. Ce groupe a dirigé ses attaques contre des centaines d’organisations au niveau mondial et opère sous différents alias sur les chaînes de Telegram et les forums de cybercriminalité.
On soupçonne que les membres du groupe se situent en Amérique du Nord et collaborent avec au moins un autre partie située en Turquie.
C’est la première fois que le nombre de clients affectés est officiellement divulgué. Auparavant, Snowflake avait indiqué qu’un « nombre limité » de ses clients avait été affecté par l’incident. La société compte plus de 9 820 clients dans le monde entier.
La campagne, comme il a été précisé précédemment, provient de credentials de clients compromis, acquis sur des forums de cybercriminalité ou obtenus par le biais de logiciels malveillants de vol d’informations comme Lumma, MetaStealer, Raccoon, RedLine, RisePro et Vidar. On pense que la campagne a débuté le 14 avril 2024.
Dans plusieurs cas, des infections par des logiciels malveillants de vol d’informations ont été détectées sur des systèmes de contracteurs qui étaient également utilisés pour des activités personnelles, telles que les jeux et le téléchargement de logiciels piratés.
L’accès non autorisé aux instances des clients a permis l’utilisation d’un outil de reconnaissance appelé FROSTBITE (également connu sous le nom de «rapeflake»), qui est utilisé pour exécuter des requêtes SQL et obtenir des informations sur les utilisateurs, les rôles actuels, les adresses IP actuelles, les ID de sessions et les noms des organisations.
Mandiant a signalé qu’il n’a pas pu obtenir un échantillon complet de FROSTBITE et a souligné l’utilisation d’une utilité légitime appelée DBeaver Ultimate pour se connecter et exécuter des requêtes SQL sur les instances de Snowflake. La phase finale de l’attaque implique l’exécution de commandes pour préparer et exfiltrer des données.
Snowflake, dans un avis mis à jour, a informé qu’il travaille étroitement avec ses clients pour renforcer leurs mesures de sécurité et développe un plan pour mettre en œuvre des contrôles de sécurité avancés, tels que l’authentification multifactorielle (MFA) et les politiques de réseau.
Les attaques ont réussi pour trois raisons principales: l’absence de MFA, la non rotation périodique des identifiant et l’absence de contrôles pour assurer l’accès uniquement depuis des emplacements de confiance.
« La date la plus ancienne d’infection par des logiciels malveillants de vol d’informations observée, associée à un identifiant utilisé par l’acteur de menace, remonte à novembre 2020 », a déclaré Mandiant, ajoutant que « des centaines d’identifiants de clients de Snowflake ont été exposés par le biais de logiciels malveillants de vol d’informations depuis 2020. »
Cette campagne souligne les conséquences de la grande quantité d’identifiants qui circulent sur le marché des logiciels malveillants de vol d’informations et peut représenter une cible spécifique de la part des acteurs de menaces sur les plateformes SaaS similaires.
Pour plus d’informations, voir the Hacker news, Google et Snowflake.
